FunLove
et BubbleBoy: les deux nouveaux virus qui sèment la
panique
Melissa,
le premier virus à se répandre via Outlook a
fait des émules cette semaine, et non des moindres.
Le plus proche de nous, FunLove aurait mis KO le serveur d'une
grande entreprise européenne selon Symantec. Le virus
n'est pas à la base spécifique à la messagerie
puisqu'il ne se réplique pas comme le faisait Melissa.
Il s'installe dans les programmes et contamine tous les autres
logiciels ouverts lorsqu'un programme infecté est executé.
Le virus (reconnaissable à la présence d'un
fichier fclss.exe dans le répertoire système
de Windows) n'est vraisemblablement pas dangereux sous Windows
95 ou 98. Il prépare en fait son attaque contre Windows
NT.
Dès qu'il est executé par un administrateur
NT (une personne possédant tous les droits sur la machine),
FunLove modifie directement le noyau de NT (le kernel) pour
donner les droits d'administrateur à tous les utilisateurs
du système. Les conséquences en terme de sécurité
s'avèrent désastreuses puisque le moindre utilisateur
a accès à tous les fichiers, à tous les
paramètres des autres utilisateurs, bref à l'ensemble
des données contenues sur le réseau. Le seul
moyen consiste alors à éteindre le serveur en
attendant de lui passer un scan d'anti-virus mis à
jour.
Second émule de Mélissa, Bubbleboy qui a beaucoup
(trop?) fait parler de lui. Ce virus qui n'a pas été
disséminé pour l'instant (il est resté
confiné dans les laboratoires des firmes anti-virus
qui l'ont reçu anonymement) même si un site japonais
en proposerait désormais les sources selon MSNBC. Il
n'est dangeureux que pour les utilisateurs d'Outlook en Anglais
ou en Espagnol. Le virus se transmet par e-mail, comme Mélissa
mais infecte sa victime sans nécessiter l'ouverture
d'un fichier attaché. Il suffit que le message (dont
le titre est "BubbleBoy is back!") soit ouvert ou
même soit sélectionné sous Outlook Express
(qui propose un aperçu) pour qu'il entre en action.
L'infection est rendue possible grâce aux composants
ActiveX scriptlet.typelib et Eyedog d'Internet Explorer 4
et 5 (sauf sous NT) qui sont considérés comme
"sûrs" d'office par Outlook. Le virus, écrit
en Visual Basic, en profite alors pour écrire des données
sur le disque dur via ces composants. En l'occurence, un fichier
update.hta est créé dans le menu "Démarrage".
Au démarrage suivant l'infection, le fichier modifie
les paramètres d'Outlook (nom et organisation de l'expéditeur)
et se répand à toutes les personnes inscrites
dans le carnet d'adresses de sa victime.
Le meilleur moyen de se débarasser de FunLove et de
BubbleBoy reste la mise à jour des anti-virus. Microsoft
recommande à tous ses utilisateurs de modifier les
paramètres de sécurité de la zone Internet
et d'indiquer une sécurité "élevée"
(contre "moyenne" par défaut). Toutefois,
pour les entreprises, la solution passe désormais par
l'installation de filtres sur les serveurs de messagerie,
supprimant automatiquement les messages contenant ces virus.
La crainte reste maintenant de voir apparaître des petits
frères de BubbleBoy réellement dangeureux (ayant
les capacités destructrices de Tchernobyl par exemple)
et attaquant les versions françaises d'Outlook.
Responsable de rubrique : Alain Steinmann
|
|